WhatsApp droht API-Entwicklern mit rechtlichen Schritten

Anscheinend als Reaktion auf die von heise Security demonstrierten Sicherheitslücken geht WhatsApp jetzt gegen den Entwickler einer Bibliothek vor, die Funktionen zum Nutzen des Chat-Services via PC bereitstellt. Der Autor hat seinen Quellcode daraufhin aus dem Netz genommen.

Allerdings hat der beliebte SMS-Ersatz WhatsApp nach wie vor ein schwerwiegendes Sicherheitsproblem: Ohne großen Aufwand kann man die Accounts anderer Nutzer übernehmen und Nachrichten im fremden Namen senden und empfangen. Geändert hat sich daran bislang nichts – heise Security konnte den Test am heutigen Dienstagnachmittag problemlos wiederholen.

Nach wie vor hat der Anbieter zu dem offensichtlichen Sicherheitsproblem keine Stellung bezogen. Auch unsere Anfragen, durch die wir unter anderem in Erfahrung bringen wollten, wie sich WhatsApp-Nutzer vor dem Account-Klau schützen und was sie tun können, wenn es passiert ist, blieben bislang unbeantwortet. Das mag daran liegen, dass es auf diese Fragen offenbar keine Antworten gibt. Statt den Dienst abzusichern – oder die Nutzer zumindest zu warnen – hüllt sich das Unternehmen in Schweigen.

Bei den Entwicklern des Github-Projekts WhatsAPI, einer Open-Source-Implementierung des WhatsApp-Protokolls in PHP und Python, hat sich WhatsApp unterdessen sehr wohl gemeldet. Das Unternehmen drohte den Entwicklern mit rechtlichen Schritten, wenn sie ihr Projekt nicht aus dem Netz entfernen. Die Entwickler haben sich daraufhin entschieden, der Bitte nachzukommen und nicht weiter an dem Projekt zu arbeiten, wie ein Mitglied des Teams gegenüber heise Security erklärte.

Die Aufforderung von WhatsApp kommt nicht von ungefähr: sie wurde verschickt, kurze Zeit nachdem heise Security demonstriert hatte, wie leicht man mit Hilfe der API fremde Accounts übernehmen kann. An der Ursache des Problems ändert das freilich nichts. Inzwischen existiert sogar ein Webdienst auf Basis der API, mit deren Hilfe man Nachrichten im Namen anderer WhatsApp-Nutzer senden und empfangen kann, sofern man deren Rufnummern und IMEI-Nummer beziehungsweise die MAC-Adresse der WLAN-Schnittstelle kennt. Von der Nutzung raten wir jedoch ab, weil man nicht ausschließen kann, dass dabei Daten in fremde Hände gelangen, die einen dauerhaften Zugriff auf den Account ermöglichen.

Der Umgang mit diesem ernst zu nehmenden Problem spricht nicht gerade für den Dienst, den allein in Deutschland Millionen Smartphone-Besitzer nutzen dürften.

Update vom 25.09., 14:00: Aus der Meldung wurde der missverständliche Hinweis entfernt, dass man sich durch das Deinstallieren der App vor dem Account-Klau schützen könne. Dies sorgt lediglich dafür, dass man etwa an einem Hotspot seine Telefonnummer nicht mehr im Klartext versendet; wer sich jedoch Telefonnummer und IMEI/MAC-Adresse anderweitig besorgt, kann nach nach wie vor gefälschte Nachrichten absetzen. (rei)